Pendle巨鯨因自定義智能合約漏洞損失130萬美元

執行摘要

慢霧餘弦報告稱，一位重要的 Pendle 代幣持有者因其自行創建的 onMorphoFlashLoan 合約遭到利用而遭受超過 130 萬美元的損失。此漏洞使得惡意行為者能夠操縱用戶在 AAVE 和 Pendle 上的委託頭寸，凸顯了去中心化金融中自定義部署面臨的持續安全挑戰。

事件詳情

此次事件涉及一位著名的 Pendle 巨鯨，其損失超過 130 萬美元。攻擊向量被確定為用戶自行創建的 onMorphoFlashLoan 智能合約中的一個關鍵漏洞。該合約在設計時具有開放的可訪問性，允許任何外部實體調用其功能。黑客利用這一權限執行了未經授權的操作，特別是操縱了該巨鯨在 AAVE 和 Pendle 協議上的委託頭寸。此次漏洞利用強調了個人用戶在未進行嚴格安全審計的情況下部署自定義智能合約（特別是那些與成熟 DeFi 平台交互的合約）時面臨的重大風險。

財務機制與業務策略

此次漏洞利用的核心在於 onMorphoFlashLoan 合約的設計，根據慢霧的分析，該合約被構造成允許來自任何地址的調用。這種錯誤配置使得攻擊者能夠繞過訪問控制並與巨鯨的委託資產進行交互。儘管涉及的具體金融工具是用戶在 AAVE 和 Pendle 上的委託頭寸，但其根本機制是對安全性差的自定義智能合約的濫用。Pendle Finance 團隊在徹底調查後證實其核心協議資金仍然安全，從而將此漏洞與協議級漏洞區分開來。然而，另一起事件是，Penpie（一個基於 Pendle 構建的獨立協議）遭受了 2700 萬美元的智能合約漏洞利用，導致 Lido 質押 ETH (wstETH)、Ethena 的 sUSDe 和 Swell 的 rswETH 被抽空。這一更廣泛的背景進一步強調了 Web3 生態系統中多樣化且相互關聯的安全挑戰。此外，在此期間 PENDLE 代幣觀察到顯著的鏈上移動，Arthur Hayes 在 24% 的價格飆升之前出售了 159 萬枚 PENDLE 代幣，遭受了 129 萬美元的損失。儘管此事件與漏洞利用不同，但它凸顯了市場波動性和大持有者的影響力。

市場影響

此次事件再次強調了在 DeFi 中加強用戶部署智能合約和委託頭寸管理安全實踐的必要性。預計將增加對自定義合約審計以及授予其權限的審查，特別是那些與 AAVE 和 Pendle 等核心協議交互的合約。更廣泛的市場影響包括對個人或小型團隊開發的合約持謹慎態度，即使成熟協議保持其安全性。複雜的社會工程攻擊和委託機制（例如 EIP-7702 引入的機制）中的漏洞不斷增加，持續構成風險，Web3 生態系統在 2025 年上半年面臨 3973 萬美元的網絡釣魚損失，涉及 43628 個受害者地址。此事件加劇了對 DeFi 領域整體安全狀況日益增長的擔憂，截至 2025 年 9 月，全球區塊鏈黑客事件造成的總損失估計達到 366.33 億美元。

專家評論

慢霧餘弦，一位著名的區塊鏈安全專家，詳細闡述了此次漏洞利用，強調漏洞存在於用戶自行創建的合約中。餘弦一貫強調 Web3 生態系統的「黑暗森林」本質，其中安全挑戰、攻擊趨勢和防禦策略至關重要。根據慢霧 Hacked 數據，截至 2025 年 9 月，智能合約漏洞是事件發生最多的原因（328 起）。餘弦在香港大學商學院等機構的講座強調了加密資產風險的預防措施和事件響應。此外，Halborn 在 2025 年的一項審查表明，配置錯誤的「僅限所有者」功能或角色分配是 80% 被盜 DeFi 管理密鑰的原因。Aave 也積極教育用戶了解智能合約風險和安全實踐，包括理解交易批准。

更廣泛的背景

onMorphoFlashLoan 合約的漏洞利用表明，除了核心協議安全之外，還存在更廣泛的系統性漏洞。儘管 Pendle 等主要 DeFi 協議通常具有強大的安全性，但生態系統的相互關聯性意味著用戶創建的合約和第三方集成引入了新的攻擊面。此次事件與 2025 年上半年觀察到的趨勢一致，即儘管安全事件數量有所減少（121 起），但總損失與 2024 年上半年相比增加了約 65.94%，達到 23.73 億美元。智能合約漏洞和帳戶洩露仍然是這些損失的主要原因。以太坊 EIP-7702 等新功能的出現（允許合約委託）也引入了新的風險邊界，使攻擊者能夠在用戶被網絡釣魚網站欺騙的情況下利用授權合約。專家們一致建議遵守安全編碼標準、嚴格的工具、分層審計和持續監控，因為 49% 的可利用合約在部署後 30 天內遭到攻擊。